Hacking des Bankkontos & der chipTAN ist möglich! - Schadensersatz gegen die Bank

Das chipTAN-Verfahren, auch smartTAN, eTAN-plus oder smartTAN plus genannt, ist zweifelsohne das derzeit sicherste Online-Banking-System. Gerade für Personen, die häufig Überweisungen tätigen oder hohe Beträge verschieben möchten, ist diese Methode anzuraten. Doch auch dieses Verfahren kann durch Internet-Kriminelle überlistet werden. Wie Sie Ihr Banking-Risiko minimieren und wie Sie Ihr Recht gegenüber der Bank durchsetzen, erfahren Sie hier.

Das sind die Themen des Beitrags:

• Arten der chipTAN
• Sicherheitskonzept hinter dem chipTAN-Verfahren
• Ansätze für Cyber-Kriminelle bei der chipTAN
• Sicherheit beim Online-Banking steigern
• Verhalten bei einem Hacking-Angriff
• Schadensersatzanspruch gegenüber Bank bei Cyber-Angriff
• Fälle ohne Ansprüche gegenüber der Bank
• Grob Fahrlässiges bzw. nachlässiges Verhalten im Online-Banking
• Chancen Ansprüche gegen Bank zu behaupten
• Hilfe durch einen Anwalt

Welche chipTAN-Verfahren gibt es?

Bei allen chipTAN-Verfahren erfolgt die TAN-Generierung offline mittels eines separaten Endgerätes. Dieser sogenannte TAN-Generator kann für 10-20 € bei einer Bank oder im Fachhandel erworben werden. Die Aktivierung des Geräts erfolgt durch das Einführen des chips der Bankkarte, daher auch chipTAN genannt. Unter diesem Sammelbegriff versteht man jedoch mehrere Varianten. Derzeit üblich sind:

• optische chipTAN
• manuelle chipTAN
• chipTAN-QR
• chipTAN photo

Bei allen Geräten ist stets das manuelle Eingabeverfahren möglich, welches auch das sicherste ist, da es als einziges unmittelbar erfolgt.

Welche Sicherheiten besitzt die chipTAN?

Alle derzeit zugelassene TAN-Verfahren bieten mindestens diese drei Sicherungselemente:

• Generierung der TAN auf Grundlage kunden- und überweisungsspezifischer Daten
• zeitlich begrenzte Gültigkeit der TAN
• Generierung der TAN über ein separates Gerät oder Programm

Die sicherheitstechnische Besonderheiten sind bei der chipTAN zum einen der Umstand einer offline Generierung, zum anderen die „Drei-Faktoren-Sicherung“ durch Bankkarte, Chiptan-Generator und Online-Banking-Portal. Diese beiden Zusätze erzeugen einen besonders hohen Sicherheitsstandard im Vergleich zu den anderen Verfahren.

Wie kann die chipTAN-Methode überlistet werden?

Die chipTAN-Verfahren weisen auch Schwächen auf. Sie sind vor allem angreifbar durch:

• „Man-in-the-browser-Attacken“/“Man-in-the-Middle-Attacken“ – Hacker ändern hierbei die Überweisungsdaten auf dem Weg zur Bank und lassen so einen manipulierten optischen Code generieren (manipulierte Daten sind über TAN-Generator zu erkennen)
• „Social Engineering“ – freiwillige, eigenständige Überweisung des Kunden werden durch Betteln, falsche Informationen oder Lügen erwirkt
• „Phishing“ – Nutzerdaten und TAN werden über manipulierte e-postalische oder telefonische Anfragen, sowie manipulierte Webseiten erschlichen institutabhängige TAN-freie Überweisungen (meist bis 30 €)
• „Trojaner“ – zeigen falsche Webseiten an, lesen eingegebene Daten aus

Besonders erfolgreich sind manipulierte Bitten um „Testüberweisungen“ oder „Probe-TAN-Eingaben“ zwecks angeblicher Zertifizierung oder Kontrolle von Updates. Berühmt in diesem Zusammenhang sind die „Tatanga“-Trojaner. Diese sind ebenfalls in der Lage Kontostand und Umsätze dem Kunden manipuliert anzuzeigen, sodass der Schaden dem Kunden nicht auffällt.

Wie kann man sein Online-Banking besser schützen?

Das Online-Banking kann durch Aufmerksamkeit und kleinere Sicherheits-Vorkehrungen gegen Cyber-Angriffe gestärkt werden. So ist anzuraten:

• starke und sporadisch wechselnde Passwörter zu nutzen
• ein aktuelles und seriösen Virenprogramm zu verwenden
• einen geprüften TAN-Generators zu erwerben – Sicherheitsstandard HDD 1.4 (bei Geräten der Banken üblich)
• die Zugangsdaten sicher aufzubewahren und nicht e-postalisch oder telefonisch herauszugeben
• kein Banking über ein öffentliches W-LAN vorzunehmen
• das eigene W-LAN-Netz zu sichern
• den Verlust des Handys (sollten Banking-Apps genutzt werden) der Bank zu melden
• Überweisungsdaten auf dem TAN-Generator sorgfältig zu kontrollieren 
• auf Modelle der Sammelüberweisung (wie z.B. bei chipTAN comfort) zu verzichten
• Webseiten und E-Mails aufmerksam und kritisch zu lesen
• auf zweifelhafte oder unseriöse Geldforderungen nicht zu reagieren
• die Kontoauszüge regelmäßig zu ziehen und zu kontrollieren

Werden diese Hinweise beherzigten kann man das Sicherheitslevel des sowieso schon äußerst zuverlässigen chipTAN-Systems nochmals steigern.

Wie Verhalte ich mich bei einem Cyber-Angriff auf mein Online-Banking?

Trotz aller Vorsicht kann es dennoch passieren, dass es zu einem erfolgreichen Hacking-Angriff auf das eigene Konto kommt. In einem solchen Falle sollten umgehend folgende drei Schritte erfolgen:

• Informieren Sie das Bankinstitut – es sperrt Ihr Konto und verhinderte so weitere Schäden
• Schalten Sie die Polizei ein – sie wird die notwendigen Beweise sichern und die strafrechtliche Relevanz prüfen
• Schalten Sie einen Anwalt hinzu – dieser unterstützt Sie im weiteren Verlauf und kann etwaige Schadensersatzforderungen gegenüber der Bank prüfen

Auch wenn es sich um geringe Beträge handelt, sollten all diese Schritte erfolgen. Die Bank kann nämlich bei einer ausbleibenden Sperrung oder nicht aufgegebener Anzeige bei der Polizei mit Schadensersatzforderungen gegen Sie aufwarten.

Besteht ein Schadensersatzanspruch gegenüber der Bank bei Hackingangriffen?

Die Regelung des Schadensersatzes im Falle eines Cyber-Angriffes im Online-Banking wird durch den §675 BGB geregelt. Der Kunde hat hiernach einen Anspruch auf Schadensersatz, wenn er die Transaktion nicht selbst autorisiert hat. Um diesen Anspruch zu entkräften, ist die Bank dazu verpflichtet, dem Kunden grobe Fahrlässigkeit oder die Verletzung der Sorgfaltspflicht nachzuweisen. Auch wenn dem Kunden hier ein Anspruch eingeräumt wird, kann die Bank bis zu 150 € Schadensersatz fordern.

Wann zahlt die Bank keinen Schadensersatz?

Eine Schadensersatzforderung kann von der Bank zurückgewiesen werden, wenn:

• in betrügerischer Absicht der Schaden durch den Kunden ermöglicht wurde
• der Kunde seine Sorgfaltspflicht verletzt hat
• ein grob fahrlässiges Handeln des Kunden vorliegt

Wird einer dieser Vorwürfe erfüllt, ist eine defensive Haltung gegenüber der Bank einzunehmen. Diese kann nämlich, ebenfalls sich auf §675 BGB berufen, Ansprüche  gegenüber dem Kunden anmelden.

Wann handel ich beim Banking grob fahrlässig?

Fahrlässig oder nachlässig handelt ein Kunde, wenn er grundlegende, zumutbare Sicherungsvorkehrung nicht vornimmt oder leichtfertig handelt. Das ist der Fall bei:

• fehlender Kontrolle der Kontoauszüge
• einem fehlenden, veralteten oder unseriösen Virenschutzprogramm
• der Beantworten oder dem Nachkommen einer offensichtlichen Pishing-Mail
• dem Abschalten der Firewall
• einer fehlenden Sicherung der Komponenten (z.B. Bankingdaten, Bankkarte und TAN-Generator werde zusammen in einer Handtasche getragen)
• der Herausgabe des Banking-Zugangs oder einer TAN auf telefonische oder e-postalische Anforderung (meist ebenfalls bei Pishing)
• einer unzureichenden Sicherung des Heimnetzwerks
• einer ausbleibenden Kontrolle der Überweisungsdaten bei der TAN-Generierung oder Übermittlung
• Auch ein zu zögerliches Handeln kann im Schadensfall negativ angelastet werden:
• verspätete Kontosperrung
• Nicht-Meldung eines verlorenen Handys
• nicht oder zu spät erstattete Anzeige bei der Polizei

Dies sind alles Punkte, die mit wenig Aufwand vermeidbar sind und bei Beachtung eine aussichtsreiche rechtliche Position gegenüber der Bank verschaffen.

Wann handelt die Bank fehlerhaft oder nachlässig?

Die Bank besitzt eine Sorgfalts- bzw. Kontrollpflicht, aufgrund derer sie ungewöhnlichen Überweisungen nachgehen muss. Dies sind Überweisungen:

• auf ungewöhnliche Konten (bspw. ausländische Konten)
• verdächtige Verwendungszwecke
• auffällig hohe Beträge
• kurze Abstände der Einzelüberweisungen
• außergewöhnliche Aktivitätszeiten

Die Bank muss in solchen Fällen eine weitere Verifizierung durch den Kunden fordern. Kommt die Bank jedoch nicht ihrer Pflicht nach, kann dies gegen sie angeführt werden.

Auf Schäden, die durch ein verzögerte Sperrung des Kontos, trotz umgehender Aufforderung des Kunden, entstehen, bleibt die Bank vollständig sitzen und ist zur Erstattung verpflichtet.

Wie stehen die Chancen Schäden beim Online-Banking erstattet zu bekommen?

Die Erfolgsaussichten einer Schadensersatzforderung können gerade im Zusammenhang mit der chipTAN nicht allgemeingültig abgeschätzt werden. Die Bank kann sich auf den hohen Sicherheitsstandard des Systems berufen, da es außerhalb von Fehlern oder Nachlässigkeiten des Kunden kaum Angriffspunkte bietet. Es stellt sich also im Streitfall primär die Frage, ob der Kunde oder das System versagt hat.

Der Erfolg der Forderung hängt zusätzlich auch stark davon ab, ob eine professionelle Beratung und Verteidigung erfolgt oder der Kunde auf eigene Faust sich mit der Bank auseinandersetzt. Ein Anwalt kann mit der richtigen Strategie die Bank vor große Probleme stellen, da diese einen klaren Nachweis für ein Fehlverhalten des Kunden erbringen muss.

Wie kann mir ein Anwalt helfen?

Den großen Vorteil, den ein Anwalts bringt, ist die Möglichkeit der Akteneinsicht. Auf diese Weise kann nämlich festgestellt werden, was die Behörden zu dem Hacking-Angriff ermitteln konnten und was davon als fehlerhaftes Verhalten dem Kunden angelastet werden kann. Auf dieser Grundlage kann der Anwalt Beweislücken ausfindig machen und diese zur Durchsetzung der Forderungen nutzen. Des Weiteren besitzt ein patenter Anwalt ein gewisses Know-How im Umgang mit Banken und kennt ihre Verteidigungstricks.

Es ist schlussendlich nicht entscheidend, ob tatsächlich ein Fehler des Kunden vorliegt, sondern ob dieser auch als solcher nachweisbar ist.

Sollten Sie also vor oder in einer Auseinandersetzung mit Ihrer Bank stehen, ist unbedingt zu einem Anwalt zu raten. Die Verteidiger von Dr. Brauer Rechtsanwälte stehen Ihnen hierbei bundesweit zur Seite. Melden Sie sich einfach über die angegebene Telefonnummer, auch über WhatsApp, oder das anschließende Kontaktformular bei uns.